Les transports sont considérés comme des infrastructures « critiques » par l’Agence nationale de la sécurité des systèmes d’information (Anssi). Les systèmes d’information des autorités portuaires sont donc également concernés. Les autorités portuaires participent aux groupes de travail organisés sous le patronage de l’Anssi. Cela est très important, estime Jérôme Besancenot, responsable des systèmes informatiques au GPMH, car ces échanges entre le terrain portuaire et l’Agence permettent de faire mieux comprendre les contraintes des uns et des autres.
Ces systèmes informatiques portuaires sont doubles: il y a un réseau « industriel » totalement fermé par lequel transitent la télésurveillance et les diverses commandes de caméras, d’ouvertures de portails, etc. S’y ajoute le réseau ouvert vers l’extérieur, dit de gestion. En effet, une autorité portuaire doit recevoir en direct un certain nombre d’informations relatives, par exemple:
– aux marchandises dangereuses transportées par un navire (source agent maritime) ou devant être mises à quai en vue d’embarquement (commissionnaire de transport);
– aux éventuels déchets du navire et à des données de sûreté, etc.
Une fois traitées pour les besoins immédiats, ces informations sont transmises à un guichet unique national afin de constituer des bases statistiques nationales, puis européennes selon les obligations du programme Safeseanet. Le réseau industriel et son homologue de gestion sont totalement séparés.
L’activité conteneurs génère des besoins accrus d’informations dont les sources ou les destinataires sont nombreux. D’où une plus grande complexité à traiter.
Si le système d’information du port est interconnecté avec un lien opérationnel au Cargo Community System (CCS) de la place portuaire, la gouvernance du CCS est totalement indépendante même si l’autorité portuaire participe à des commissions conjointe avec la Soget qui gère le CCS. La proximité intelligente de l’autorité portuaire et de la Soget permet des échanges, une certaine concertation et facilite la prise de conscience de la place relative à la cybersécurité, se félicite Jérôme Besancenot.
Exemple de prise de conscience à améliorer: dans les PME, le turn over étant souvent important, le personnel arrivant n’est pas nécessairement informé des précautions élémentaires à prendre pour ne pas faciliter l’intrusion dans un système. Tous les salariés des petits transporteurs routiers qui acheminent des dangereux ou des déchets à quai n’ont pas nécessairement une pratique sécurisée des systèmes qu’ils ont l’obligation de renseigner.
Actuellement, le système d’information de l’autorité portuaire est la cible d’une dizaine d’attaques par jour, explique son directeur, y compris des ramson wares, logiciels qui cryptent des données transitant dans le système pour les rendre inutilisables par la suite. Pour les restituer, les « pirates » demandent une somme d’argent que le port a toujours refusé de verser. « Nous perdons quelques heures à retrouver nos données qui sont sauvegardées régulièrement, mais nous ne payons pas », affirme Jérôme Besancenot. Il reconnaît également que certaines attaques en profondeur sont particulièrement astucieuses.
Après Houston, Le Havre a été le deuxième port de commerce certifié ISO 28000 en 2011. Cette norme concerne les spécifications relatives aux systèmes de management de la sûreté de la chaîne d’approvisionnement. Elle « coiffe » d’autres normes comme la 20858 (sécurité des installations portuaires maritimes et réalisation des plans de sécurité) ou la 28001 (meilleure pratique pour la préservation des marchandises dans la sûreté de la chaîne d’approvisionnement).
Règles d’hygiène à tous les niveaux
Tout le travail de préparation pour obtenir ces certifications a permis de sensibiliser tous les salariés du port, à tous les niveaux, à la cybersécurité et aux moyens élémentaires d’éviter une intrusion. Il est ici question de « règles d’hygiène » informatique. Des dispositifs plus complexes sont cependant nécessaires comme, par exemple, la nécessité d’avoir deux réseaux électriques indépendants pour alimenter le sytème d’information. Des sondes actives détectent des flux de données qui n’ont pas lieu d’exister, en pleine nuit par exemple. Les nombreuses mises à jour des logiciels d’exploitation prennent certes beaucoup de temps à installer mais sont indispensables à la sécurité du système d’information. Des logiciels d’exploitation mieux élaborés avant leur commercialisation pourraient faciliter la vie des informaticiens portuaires, entre autres utilisateurs, et rendre plus crédibles leurs grands éditeurs. « Cela dit, il faut rester modeste dans le domaine de la cybersécurité et renforcer sa capacité à remettre le système en fonctionnement lorsqu’un jour ou l’autre, une attaque n’aura pas pu être parée » conclut le responsable des systèmes d’information du port du Havre.
Dans l’état actuel des choses, le passage au nuage (cloud) n’est pas d’actualité au Havre, l’Anssi l’étudie mais n’a « labellisé » aucune structure d’hébergement. Des ports et des administrations s’y sont déjà risqués. Certains retours d’expérience ne sont pas favorables. Ceci dit, « il vaut mieux un bon cloud qu’un système mal sécurisé », résume Jérôme Besancenot.
Fausses données et surcapacités
La délocalisation, en Inde ou en Chine, de la saisie de certaines informations concernant le chargement du navire, sans grande précaution, pose des difficultés, constate Jérôme Besancenot: la saisie est fréquemment incorrecte et/ou insuffisamment protégée. La première préoccupation concerne la qualité de l’information. Il y a beaucoup de données qui sont fausses, après la saisie. Quelle que soit la qualité du réseau ou celle des normes internationales d’échanges normalisés, on véhicule des informations erronées comme le poids des conteneurs, par exemple. Les rectifications, nombreuses, occupent inutilement les capacités des systèmes.
Ces fausses données créent d’autres difficultés, d’ordre juridique cette fois. La Commission européenne n’a de cesse de vouloir simplifier le travail administratif qui pèse sur le navire ou son agent maritime dès lors qu’il fait uniquement escale dans des ports de l’Union européenne. Pour cela, il faut que les autorités portuaires se communiquent un certain nombre d’informations qui ne leur appartiennent pas et qui peuvent être fausses. Se pose alors la question de la responsabilité de l’autorité portuaire, d’autant qu’un certain nombre d’administrations interviennent dans le processus (Douanes, Intérieur, Agriculture, Santé). De quoi occuper les ports et leur tutelle.
Présidence française de Protect
En septembre, le groupe européen Protect a confié sa présidence à Jérôme Besancenot, chef de service Développement des systèmes d’information du Grand port maritime du Havre. Fondé en 1992 par les autorités portuaires (AP) d’Anvers, Brème, Felixstowe, Le Havre, Londres et Rotterdam et les sociétés qui géraient les Cargo Community Systems de ces ports, Protect a pour objet de faciliter et d’harmoniser les échanges informatiques entre les acteurs des places portuaires. Il a notamment beaucoup travaillé sur la normalisation des opérations qui concernent directement les AP comme l’attribution des postes à quai, les déclarations de déchets présents à bord ou la notification de marchandises dangereuses.
Ce groupe de travail a été rejoint par les ports d’Amsterdam, de Barcelone, de Bilbao, de Dunkerque, de Groningen, de Nantes Saint-Nazaire et de Sinès. Depuis quelques années, la cybersécurité fait également l’objet de ses réflexions.
Cybersécurité et guichets uniques portuaires
La mésaventure anversoise au cours de laquelle des conteneurs contenant de la drogue ont disparu, dès leur débarquement, du système informatique de la place portuaire, autrement appelé guichet unique portuaire, semble avoir réveillé les consciences. En juillet, l’International Port Community System Association (IPCSA) a organisé un atelier sur la cybersécurité de la chaîne logistique. Quatre recommandations ont été formulées:
– chaque guichet unique doit, à l’échelon local ou national, inviter toutes les parties présentes dans la chaîne d’approvisionnement à créer et faire partie d’un centre d’analyse et d’échanges relatifs à la cybersécurité, ses risques et ses parades. Des instructions strictes seront mises en place pour garantir la confidentialité des échanges entre participants qui, idéalement, devraient être des experts en matière de sécurisation des échanges informatiques;
– au niveau régional, des organismes appropriés (Commission européenne pour l’UE, par exemple), devront soutenir la mise en place par le secteur de forums à haut niveau dédiés à la cybersécurité auxquels participeront les structures régionales et internationales. Il est recommandé d’utiliser les Commissions régionales des Nations unies (Europe/Amérique du Nord, Amérique latine/Caraïbes, Afrique, etc.) pour créer ces forums et ainsi leur donner une dimension internationale;
– l’IPCSA doit examiner les voies et moyens de créer en son sein un groupe de travail spécialisé dans la sûreté de l’information;
– toutes les organisations doivent, au moins, mener des tests de résistance à l’intrusion, habituellement réalisés par des consultants extérieurs, afin de s’assurer que leurs systèmes sont sécurisés. Ceci devra être fait au moins une fois par an.
Par ailleurs, l’IPCSA fera circuler le document de 10 pages qui a été rédigé à la fin de l’atelier entre toutes les parties concernées par la chaîne d’approvisionnement afin de recueillir leur avis.
Elle s’emploiera également à examiner avec les instances internationales et régionales comment ces dernières pourraient apporter leur concours à la réduction du cyberrisque. En juin 2011, six gestionnaires de guichets uniques portuaires européens (Dakosy, Hambourg; Dbh, Brème; MCP, Felixstowe; Portbase, Rotterdam et Amsterdam; Portic, Barcelone; et Soget, Le Havre) fondent l’European Port Community System Operators afin d’harmoniser leurs positions sur des questions d’intérêt commun. Le 1er septembre 2014, l’EPCSA devient international pour pouvoir accueillir d’autres membres.
